Dionaea dan Glastopf. di ID-SIRTII

1 

Implementasi dan Evaluasi Honeypot Dionaea dan Glastopf di ID-SIRTII Andreas Sunardi Binus University,Computer Engineering, [email protected]

Andre Chandra Binus University,Computer Engineering, [email protected]

dan

Christian Darmawan Binus University,Computer Engineering, [email protected]

Abstrak Penelitian dengan cara mengelompokan dan menganalisis hasil serangan yang didapat dari honeypot yang digunakan, yaitu Dionaea dan Glastopf bertujuan untuk mengetahui kelebihan dan kekurangan honeypot yang satu dengan yang lainnya. Metode penelitian yang digunakan adalah metode penelurusan pustaka dengan mempelajari teori dan konsep yang berhubungan dengan honeypot dari sumber acuan umum dan metode eksperimen dengan menguji langsung honeypot yang telah dibangun dengan menggunakan tools yang direkomendasikan. Hasil yang didapat dalam seminggu, data Dionaea menunjukan bahwa serangan paling banyak terjadi pada malam hari (pukul 20.00-4.00 WIB) yaitu 443.709 serangan (41,94% dari total serangan) dan paling banyak menyerang port 445 sebanyak 1.048.300 serangan (99% dari total serangan) dan port 80 sebanyak 7915 serangan. Sedangkan hasil dari Glastopf yang hanya melayani port 80 hanya menerima 16 serangan. Setelah mengelompokan dan menganalisis data serangan yang diterima kedua honeypot, dapat dilihat bahwa Dionaea menawarkan layanan yang lebih banyak dan lebih sensitif dalam menangkap serangan(malware) terutama pada port 80 dibandingkan dengan serangan yang diterima Glastopf.

Kata Kunci: Honeypot, Dionaea, Glastopf, serangan  

2 

1. Pendahuluan Saat ini teknologi internet mengalami peningkatan cukup pesat, secara kuantitas maupun kualitas. Internet merupakan jaringan komputer yang

bersifat publik, tetapi tidak semua

informasi dapat diakses secara publik. Tentunya ada informasi-informasi yang bersifat pribadi/private. Tetapi ada pihak –pihak yang ingin mengakses informasi pribadi /private seseorang dengan maksud tertentu yang berusaha untuk menembus sistem keamanan seperti menyebar malware. Pada artikel yang berjudul “Trend Keamanan Internet 2011”, menurut data statistik dari ID-SIRTI, rata-rata jumlah insiden per hari pada tahun 2010 mencapai 1.1 juta insiden dan aktivitas ini cenderung akan semakin meningkat. Terutama pada situasi geopolitik tertentu seperti pemilu. 50% diantara insiden tersebut tergolong high priority alert. Sistem monitoring traffic ID – SIRTII sendiri terdiri dari 11 sensor yang meliputi hampir 60% traffic nasional,

sehingga

data

dan

informasi

yang

dihasilkan

dapat

digunakan

untuk

merepresentasikan profil traffic nasional. Beberapa aplikasi atau sistem telah dikembangkan dan diterapkan untuk mengatasi serangan yang terjadi. Contohnya teknik pengamanan serangan dengan firewall untuk mencegah serangan, atau pendeteksian pada saat mulai terjadi serangan dengan IDS (Intrusion Detection Systems). Sesuai namanya, IDS hanya mendeteksi serangan yang terjadi dan tindakan selanjutnya harus dilakukan oleh administrator. Karena kelemahan ini, maka dikembangkan IDS yang proaktif yaitu IPS (Intrusion Prevention System) yang bisa mencegah serangan yang terdeteksi dengan berbagai cara (Scarfone,2007). Namun, IDS/IPS memiliki kelemahan terhadap intrusi yang bersifat zero-day (intrusi yang belum pernah diketahui). Untuk membangun sistem keamanan yang lebih baik maka harus diketahui informasi tentang vulnerabilities yang ada, serangan yang dilakukan, dan motif penyerang. Atas  

3 

dasar inilah honeypot diperlukan karena honeypot bisa mengumpulkan informasi tentang penyerang bahkan yang baru tanpa disadari oleh penyerang itu sendiri. Honeypot juga dapat membalas serangan yang diterima sehingga penyerang merasa berinteraksi dengan sistem produksi sebenarnya.

2. Metodologi Ruang lingkup dari penelitian ini berupa menganalisis data yang diperoleh oleh honeypot dalam hal ini menggunakan Dionaea dan Glastopf dan membandingkannya. Honeypot yang digunakan tersebut adalah low interaction honeypot sehingga serangan yang diterima biasa didapat dari bot. Data serangan yang akan diperoleh oleh Dionaea dan Glastopf antara lain ip sumber dan ip tujuan, port dan protokol yang digunakan. Pada Glastopf dapat dilihat juga request yang dilakukan oleh attacker. Serangan yang diterima akan disimpan di log yang akan ditampilkan melalui web interface.

2.1 Landasan Teori Honeypot adalah sebuah sistem atau komputer yang dikorbankan untuk menjadi target serangan dari hacker. Menurut P. Diebold, A. Hess, dan G. Schafer (2005), honeypot dapat berguna untuk membuang – buang sumber daya penyerang atau mengalihkan penyerang dari sesuatu yang lebih berharga.Bagi para administrator jaringan yang menerapkan Honeypot ini, akan memperoleh informasi - informasi dari kegiatan cracker, mengetahui metode yang ditempuh cracker dalam menginject suatu sistem sehingga dapat dilakukan pencegahan terhadap jaringan yang dilindungi sebenarnya. Biasanya penyerang akan melakukan scanning jaringan untuk mencari komputer yang vulnerable . Penyerang pasti akan menemukan honeypot karena  

4 

honeypot sengaja dibuat vulnerable untuk menarik serangan sehingga jika penyerang melakukan koneksi ke honeypot, maka honeypot akan mendeteksi dan mencatatnya.   Menurut Lance Spitzner (2002), honeypot dapat diklasifikasikan menjadi 3 kategori yaitu Low-Interaction Honeypot, Medium-Interaction Honeypot, dan High-Interaction Honeypot. Perbedaannya dapat dilihat dari instalasi, konfigurasi, deployement, dan maintenance. 1. LOW INTERACTION HONEYPOT

Low-interaction honeypot didesain untuk mengemulasikan service (layanan) seperti pada server yang asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port. Kelebihan low-interaction honeypot yaitu: y Mudah diinstall, dikonfigurasi, deployed, dan dimaintain y Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dan lainnya. y Berfungsi untuk mendeteksi serangan, khususnya pada proses scanning atau percobaan pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot : y Layanan yang diberikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung y Informasi yang didapatkan dari penyerang sangat sedikit. y Apabila serangan dilakukan oleh “real person” bukan “automated tools” mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses. 2. MEDIUM INTERACTION HONEYPOT  

5 

Kelebihannya Medium Interaction Honeypot: •

Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.

•

Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga penyerang merasa benar-benar sedang berinteraksi dengan layanan yang sebenarnya.

Kekurangan Medium Interaction Honeypot : •

Sistem tersebut cukup kompleks.

•

Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yang diberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak sadar bahwa aktivitasnya sedang dimonitor.

3. HIGH INTERACTION HONEYPOT

Pada high-interaction honeypot, penyerang dapat berinteraksi langsung dengan sistem dan tidak ada batasan yang membatasi interaksi tersebut, sehingga tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi semakin meningkat dikarenakan kemungkinan serangan yang tinggi. Kelebihannya :

 

6 

•

Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( web, ssh service, dan mail service ).

•

Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall, IDS/IPS, dan router.

•

Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara langsung dengan penyerang.

Kekurangannya : •

Perencanaan dan implementasi sistem sangat rumit dan dibutuhkan banyak pertimbangan.

•

High-interaction honeypot membutuhkan pengawasan berkala karena bila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.

9 Dionaea Menurut situs http://Dionaea.carnivore.it/ yang diakses tanggal 27-7-2011, Dionaea adalah sebuah low interaction honeypot yang diciptakan sebagai pengganti Nepenthes. Dionaea menggunakan python sebagai bahasa scripting, menggunakan libemu untuk mendeteksi shellcodes, mendukung ipv6 dan tls. Dionaea bertujuan untuk mendapatkan copy dari malware. Penyerang

biasanya

berkomunikasi

dengan

beberapa

service

dengan

mengirimkan beberapa paket terlebih dahulu kemudian mengirimkan payload. Dionaea memiliki kemampuan untuk mendeteksi dan mengevaluasi payload tersebut untuk dapat

 

7 

memperoleh salinan copy dari malware. Untuk melakukannya, Dionaea menggunakan libemu.Setelah Dionaea memperoleh lokasi file yang diinginkan penyerang/attacker untuk didownload dari shellcode, Dionaea akan mencoba untuk mendownload file.Setelah Dionaea mendapat salinan dari worm attacker, Dionaea akan menyimpan file lokal untuk analisa lebih lanjut, atau mengirimkan file ke beberapa pihak ke-3 untuk analisis lebih lanjut. 9 Glastopf Menurut artikel “Know Your Tools: Glastopf,A dynamic, low-interaction web application honeypot”, Glastopf adalah low interaction web application honeypot yang memiliki

kemampuan

untuk

mengemulasikan

ribuan

vulnerabilities

untuk

mengumpulkan data dari serangan yang ditujukan ke aplikasi web. Prinsip dasar dari kerja Glastopf adalah membalas serangan dengan memberikan jawaban sesuai dengan tujuan penyerang menyerang aplikasi web. Glastopf menyediakan vulnerability emulator yang membuat Glastopf dapat membalas semua serangan tanpa harus memodifikasi template aplikasi web. Cara kerja Glastopf sama seperti cara kerja web server. Seseorang mengirim request ke web server, lalu request tersebut diproses, mungkin ada beberapa yang disimpan di database dan kemudian server membalas request tersebut. Jika requestnya salah maka akan muncul error page.

 

8 

Gambar 2.1 Cara kerja Glastopf umum (Gambar diambil dari artikel “Know Your Tools: Glastopf,A dynamic, low-interaction web application honeypot”)

Sampai saat ini, Glastopf hanya dapat menangani HEAD,POST, dan GET request. Glastopf akan membalas HEAD request dengan generic web server header. Jika mendapat POST request, maka semua data yang dikirim akan disimpan. Jika mendapat GET request maka Glastopf akan menentukan tipe serangan sesuai dengan pola yang ada. Setelah itu, Glastopf akan menghasilkan respon tertentu untuk mensimulasikan serangan yang berhasil.

2.2 Perancangan Sistem Berikut adalah gambar topologi jaringan ID-SIRTII:

 

9 

Gambar 2.2 Topologi Jaringan ID-SIRTII

Berdasarkan topologi jaringan di atas, Dionaea dan Glastopf diletakkan di lab honeynet dengan ip publik yang berbeda sehingga dapat menarik serangan dan menyimpan data yang telah diterima. PEMASANGAN HONEYPOT: ¾

Dionaea

Untuk menginstall Dionaea diperlukan beberapa modul sebagai pendukung: •

Curl Modul curl digunakan untuk metransfer file dari dan ke server. Modul ini digunakan untuk mendownload file via http dan metransfer file tersebut ke pihak ketiga.

•

Emu  

10 

Modul emu digunakan untuk medeteksi, profiling dan jika diperlukan menjalankan shellcode •

python Modul python untuk mengontrol beberapa modul yang digunakan Dionaea.

•

Sqlite Database tempat penyimpanan data yang diterima oleh Dionaea.

•

Prosody Server untuk menghubungkan Dionaea dan carniwwwhore.

Dionaea dijalankan dengan perintah:

Gambar 2.3 Perintah Dionaea

Setelah itu akan muncul tampilan:

Gambar 2.4 Tampilan Dionaea

 

11 

Data yang diterima Dionaea akan langsung dikirim ke database yang digunakan carniwwwhore sehingga akan mudah dilihat. Untuk membangun carniwwwhore dibutuhkan beberapa persayaratan seperti: •

Postgresql Database yang digunakan oleh carniwwwhore untuk menampilkan data dari Dionaea

•

Django Django adalah sebuah web framework berbasis Python yang dikembangkan untuk membangun berbagai aplikasi web dengan cepat dan mudah.  Django telah dilengkapi dengan web server built-in yang untuk mengaktifkannya menggunakan perintah ‘runserver’. Web server built-in ini bisa kita gunakan untuk percobaan aplikasi yang kita buat saat tahap pengembangan.

¾ Glastopf Untuk menginstal Glastopf hanya tinggal mendowload paket dari server yang sudah disediakan seperti svn co svn://82.165.193.71:9090/Glastopf/trunk Glastopf

Glastopf memiliki beberapa plugin yang dapat digunakan: •

Mysql plugin Plugin ini membuat Glastopf dapat menyimpan segala data yang telah diterima ke dalam Mysql database. Data yang tersimpan dala Mysql database dapat terlihat di Glastopf web interface, GlasIF.

•

PostgreSql plugin Plugin ini memiliki fungsi yang sama seperti Mysql tetapi data yang dikumpulkan sekarang belum dapat dilihat di GlasIF. Ini untuk pengembangan lebih lanjut.

•

Rawout plugin  

12 

Plugin ini berfungsi untuk menyatukan semua header dalam 1 hari menjadi 1 file •

FileUrl plugin Plugin ini untuk menyimpan semua URL yang mengarah pada file yang menyerang ke mysql database. Pemasangan GlasIF sebagai web interface Glastopf hanya membutuhkan lamp server.

Glastopf dijalankan dengan perintah -

Python2.5 webserver.py

Tampilan Glastopf :

Gambar 2.5 Tampilan Glastopf

2.3 Pengambilan Data Berikut adalah skenario pengambilan data: 1. Terdapat dua buah virtual mesin di dua mesin yang berbeda yang masing – masing memiliki IP publik. Virtual mesin tersebut menggunakan OS linux server. 2. Pada salah satu mesin tersebut diinstal Dionaea dan di mesin lain di install Glastopf kemudian dijalankan dan menunggu hasil.  

13 

3. Data yang kita ambil dari kedua honeypot adalah data yang telah diterima selama 7 hari pada tanggal 16 November 2011 – 22 November 2011. sehingga dapat dilakukan perbandingan antara kinerja Glastopf dan Dionaea. 4. Pada Dionaea, data yang diterima disimpan di dalam database sqlite yang akan dkirim ke carniwwwhore sehingga tampilan log dapat dilihat dengan mudah. 5. Pada Glastopf, data yang diterima juga akan terlihat di log yang dihasilkan yang disimpan di dalam database dan ditampilkan di GlasIF sebagai web interface. 6. Semua web interface berada di pharm server.

2.4 Evaluasi

•

Dionaea Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011, diperoleh data serangan yang dikelompokan berdasarkan waktu, negara penyerang, dan port yang diserang. 9 Serangan berdasarkan waktu

Gambar 2.6 Grafik jumlah penyerang terhadap waktu  

14 

Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1 hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:0020:00 WIB), dan malam (pukul 20:00-4:00 WIB).Dari data yang dievaluasi dapat dilihat serangan paling banyak terjadi pada malam hari lalu siang hari dan yang paling sedikit pada pagi hari. Hal ini disebabkan karena banyak attacker yang menjalankan serangannya dengan menggunakan bot berasal dari Negara yang beda waktunya jauh dengan Indonesia sehingga di negeri penyerang masih siang hari sedangkan di Indonesia sudah malam hari. Seperti diketahui bahwa pada siang hari aktifitas manusia paling banyak terjadi. 9 Serangan berdasarkan negara penyerang Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip penyerang.Diagram dibawah ini adalah negara yang paling sering melakukan serangan.

Gambar 2.7 Diagram negara yang sering menyerang

 

15 

Dari data negara yang paling banyak melakukan serangan, terdapat negara dengan 5 urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman (4%).

Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh

dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari (pukul 20:00-04:00 WIB) yaitu 150.629 (Rusia) dan 20.650 (Jerman). Hal ini dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari yaitu 65.321 serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam hari yaitu 52.854 serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari yaitu 61.613 (Taiwan) dan 33.694 (Jepang).   9 Serangan berdasarkan port yang diserang Dionaea membuka semua services yang ada sehingga data yang didapat sangat banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram yang menggambarkan port yang sering diserang dalam seminggu:

 

16 

Gambar 2.8 Diagram port yang banyak diserang

Dari gambar di atas dapat dilihat port 445 sering diserang (1.048.300 serangan) karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www) merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433 yang digunakan oleh MSSQL. Port lainnya adalah port 5060 dan 5061 yang sering digunakan untuk layanan voice dan media melalui internet, lalu port 3306 yang digunakan oleh mysql, port 21 untuk transfer data dan port lainnya.

y Glastopf Pada Glastopf dapat dilihat host penyerang dan request yang dilakukan. Berikut adalah tabel data serangan yang diterima oleh Glastopf setelah dijalankan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011:  

17 

Attacker

Destination

Time

Request

Negara

xxx.43.187.5

203.xxx.119.40

16/11/2011

/phpmyadmin/

Indonesia

109.xxx.213.134

proxyjudge2.xxx.net 17/11/2011

http://proxyjudge2.xxx.net/fastenv

Jerman

61.250.80.xxx

203.xxx.119.40

/user/soapCaller.bs

Republic

17/11/2011

of Korea xxx.14.129.100

www.weibo.com

17/11/2011

http://www.weibo.com/

China

188.xxx.163.130

203.xxx.119.40

18/11/2011

/appConf.htm

Turkey

180.244.xxx.74

203.xxx.119.40

18/11/2011

/phpmyadmin/

Indonesia

194.63.xxx.79

203.34.119.40

18/11/2011

/w00tw00t.at.blackhats.romanian.anti- Rusia sec:)

194.63.xxx.79

203.xxx.119.40

18/11/2011

/phpMyAdmin/scrixxx/setup.php

Rusia

173.xxx.101.59

203.xxx.119.40

19/11/2011

/appConf.htm

United States

xxx.132.116.23

www.google.com

21/11/2011

http://www.google.com/

Ukraine

203.xxx.229.187

203.xxx.119.40

22/11/2011

/w00tw00t.at.blackhats.romanian.anti- Hongkong sec:)

203.xxx.229.187

203.xxx.119.40

22/11/2011

/phpMyAdmin/scrixxx/setup.php

Hongkong

128.xxx.29.199

203.xxx.119.40

22/11/2011

/phpMyAdmin/scrixxx/setup.php

Australia

128.xxx.29.199

203.xxx.119.40

22/11/2011

/pma/scrixxx/setup.php

Australia

128.xxx.29.199

203.xxx.119.40

22/11/2011

/w00tw00t.at.blackhats.romanian.anti- Australia sec:)

128.xxx.29.199

203.xxx.119.40

22/11/2011

/myadmin/scrixxx/setup.php

Tabel 2.1 Tabel Serangan Glastopf  

Australia

18 

Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang menyerang dan request yang dilakukan. Glastopf dapat menarik serangan dengan menambahkan path atau file yang vulnerable yang sering dicari oleh penyerang di database Glastopf. Path atau file tersebut dapat kita lihat pada http://www.exploit-db.com/ dan menambahkan pada tabel path dalam database sehingga saat penyerang mencari file tersebut maka mereka akan menemukan dan menyerang Glastopf kita. Kita dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika penyerang menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat dilihat request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan webserver seperti /phpMyAdmin/scripts/setup.php

dari

Hongkong,

Rusia,

dan

Australia

dan

request

/w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia dan Hongkong. Serangan lainnya adalah request /user/soapCaller.bs dari Korea. Request ini dilakukan oleh tools yaitu Morfeus Scanner yaitu scanner yang mencari bug yang terdapat dalam php atau web aplikasi lainnya.

3. Kesimpulan y

Dionaea lebih sensitif dibanding Glastopf terutama di port 80 dengan serangan yang ditangkap Dionaea sebanyak 7915 dan serangan yang ditangkap Glastopf sebanyak 16.

y

Berdasarkan waktu dalam satu hari, ancaman serangan paling banyak terjadi pada malam hari (pukul 20:00-4:00 WIB) lalu siang hari (pukul 12:00-20:00 WIB), dan yang paling sedikit pada pagi hari (pukul 04:00-12:00 WIB).

 

19 

y

Menurut hasil penelitian, lima negara terbanyak yang melakukan serangan adalah Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman (4%).

y

Dari hasil penelitian didapat bahwa port 445 (SMB) adalah port yang paling rawan untuk disusupi malware selain port 80.

y

Serangan yang telah diterima honeypot dari hasil penelitian dapat dicegah dengan cara seperti menutup port yang sering diserang, memblok ip yang mencurigakan, atau menggunakan software lain untuk keamanan.

 

20 

DAFTAR PUSTAKA

•

Diebold, P., A. Hess, and G. Schafer.2005.A honeypot architecture for detecting and analyzing unknown network attacks.14th Kommunikation in Verteilten Systemen.

•

ID-SIRTII.n.d.Profil ID-SIRTII. Diakses tanggal 20-11-2011. http://idsirtii.or.id/profil-id-sirtii/

•

Markus.2011. carniwwwhore. Diakses tanggal 25-09-2011. http://carnivore.it/2010/11/27/carniwwwhore

•

Markus.n.d.Dionaea-Catches Bugs. Diakses tanggal 27-7-2011. http://Dionaea.carnivore.it/  

•

Mattord, Verma.2008. Principles of Information Security. Course Technology. pp. 290–301.

•

Mulyatna, Edi S. 2005. Pengenalan Protokol Jaringan Wireless Komputer. Yogyakarta: Andi. 

•

Pataka.2011. Trend Keamanan Internet 2011. Diakses tanggal 24-12-2011.  http://www.pataka.net/2011/01/08/trend-keamanan-internet-2011/

•

Pfleeger, Charles P. and Shari Lawrence Pfleeger.2011. Analyzing Computer Security: A Threat / Vulnerability / Countermeasure Approach. New Jersey :Prentice Hall.

•

Rist,Lukas.2010. Know Your Tools: Glastopf,A dynamic, low-interaction web application honeypot.

 

21 

•

Scarfone, Karen and Peter Mell.2007. Guide to Intrusion Detection and Prevention Systems (IDPS).Computer Security Resource Center (National Institute of Standards and Technology).

•

Shah, Shreeraj.2004.Defending Web Services using Mod Security(Apache). NetSquare.

•

Spitzner, Lance.2002.Honeypots: tracking hackers. New York: Addison-Wesley Professional.

 

 

 

•

Stiawan, Deris.2005.Sistem Keamanan Komputer.Jakarta:PT Elex Media Komputindo.

•

Syafrizal, Melwin.2005.Pengantar Jaringan Komputer.Yogyakarta:Andi.

1 

Implementation and Evaluation Honeypot Dionaea and Glastopf in ID-SIRTII Andreas Sunardi Binus University,Computer Engineering, [email protected]

Andre Chandra Binus University,Computer Engineering, [email protected]

dan

Christian Darmawan Binus University,Computer Engineering, [email protected]

Abstract Research by means of classifying and analyzing the results obtained from the honeypot attacks, the Dionaea and Glastopf aims to determine the advantages and disadvantages of a honeypot with one another. The used method is a literature method by studying the theories and concepts related to the reference source honeypot of public and direct experimental method to test the honeypot that has been built using the recommended tools. The results of the week, data showed that Dionaea most attacks occur at night (20:00 to 4:00 pm GMT) which is 443 709 attacks (41.94% of total attacks) and a maximum total of 1.0483 million attacking port 445 attacks (99% of the total attacks) and port 80 as many as 7915 attacks. While the results of Glastopf serving only port 80 is only getting 16 attacks. After classifying and analyzing received data by the honeypot attacks, can be seen that Dionaea offer more services and more sensitive in capturing attacks (malware), especially on port 80 as compared to attacks received by Glastopf.

Keywords: Honeypot, Dionaea, Glastopf, assault  

2 

1. Preliminary Words Nowadays Internet technology has increased quite rapidly, in quantity and quality. Internet is apublic computer networks, but not contains all publicly accessible information. Surely there is any information that is personal / private. But there are those who want to access your personal / private person with a specific intent to attempt to penetrate security systems such as the spread of malware. In the article entitled "Trend Internet Security 2011", according to statistics from the ID-SIRTI, the average number of incidents per day in 2010 reached 1.1 million incidents and this activity will likely increase. Especially in certain geopolitical situation like elections. 50% of the incident was classified as high priority alerts. Traffic monitoring system ID - SIRTII itself consists of 11 sensors that cover almost 60% of national traffic, so the generated data and information can be used to represent the national traffic profile. Some application or system has been developed and implemented to overcome the attack happened. Examples of security techniques are a firewall that prevent attacks, or detection at the start of the attack with IDS (Intrusion Detection Systems). As the name implies, IDS only detect attacks that occurred and the subsequent action must be performed by the administrator. Because of these weaknesses, then a proactive IDS is developed and it is called IPS (Intrusion Prevention System) that can prevent a detected attack by a variety of ways (Scarfone, 2007). However, IDS / IPS has a weakness against intrusions which are zero-day (intrusion that has never been known). To build a better security system then needs to know information about the existing vulnerabilities, attacks carried out, and the motivation of the attacker. Therefore honeypot is necessary because honeypot can collect information about a new attacker even unnoticed by the

 

3 

attacker itself. Honeypot can also reply the received attacks so the attacker feels interacts with the actual production system.

2. Methodology The scope of this study is the form of analyzing the data which is obtained by the honeypot in this case using the Dionaea and Glastopf and compare them. Honeypot that is used is a low interaction honeypot which received regular attacks come from the bot. The obtained attacks data by Dionaea and Glastopf are the source ip and destination ip, port and protocol that are used. Glastopf can also see the request which made by the attacker.The received attacks will be stored in the log that is displayed through a web interface

2.1 Theory A honeypot is a computer system which is sacrificed to become a target of hacker attacks. According to P. Diebold, A. Hess, and G. Schafer (2005), a honeypot can be useful to wastes the resources of the attackers or divert attackers from something that more valueable.For the administrators who implement this honeypot, will obtain the informations from the activities of a cracker, the method how to inject the system to allow for the prevention of actual protected network which are pursued by cracker. Usually the attacker will scan the network to find computers that are vulnerable. The attacker would find honeypot because honeypot was made vulnerable to attract the attack so the attacker does connects to honeypot,and then honeypot will detect and record it. According to Lance Spitzner (2002), a honeypot can be classified into three categories: Low-Interaction honeypot, Medium-Interaction honeypot, and HighInteraction honeypot. The difference can be seen from the installation, configuration, deployement, and maintenance.  

4 

1. LOW INTERACTION HONEYPOT

Low-interaction honeypot designed to emulate the service (service) as the original server. The attacker is only able to examine and connected to one or more ports. The advantages of this low interaction honeypot are: y easy to be installed,configured,deployed,maintained y can emulate a service like http,ftp,telnet and the others. y Serves to detect attacks, especially on the process of scanning or opening of the trial to a service connection. The disadvantages of this low interaction honeypot are: y The services provided only in the form of emulation, so the attacker can not interact fully with the services provided or the operating system directly y The information that obtained from the attacker is very little. y If the attack carried out by a "real person" instead of "automated tools" will probably soon realize that they were facing a honeypot machine, due to limited service can be accessed. 2. MEDIUM INTERACTION HONEYPOT

The advantages of this medium interaction honeypot are: •

Have the ability to interact more with the attacker than the low-interaction honeypot, but not as much as high-interaction honeypot.

•

Emulation service which has various extra features so that the attacker feels was actually interacting with the actual service.

The disadvantages of this medium interaction honeypot are: •

 

The system is quite complex.

5 

•

Requires more effort to maintain and deploy these systems so that access which is given to the attacker is really guaranteed in its level of security while still providing the atmosphere of a real system for the attacker that the attacker is not aware that his activities are being monitored.

3. HIGH INTERACTION HONEYPOT

In the high-interaction honeypot, the attacker can interact directly with the system and there is no restriction that limits the interaction, so that the level of risk faced by is higher because the attacker may have root access. At the same time, the possibility of increasing the collection of information is high due to possible attacks. The advantages : •

The attacker interacts directly with the real system including the operating system, network,even the services provided (web, ssh service, and mail service).

•

The system usually consists of various implementations of security technology that is widely used to protect a system, such as firewalls, IDS / IPS, and the router.

•

The target of the attack is actually the operating system which is ready to interact directly with the attacker

The disadvantages : •

Planning and implementation of the system is very complicated and it takes a lot of consideration.

 

6 

•

High-interaction honeypot requires regular monitoring because when it was taken over by an attacker then the honeypot can be a threat to the existing network.

9 Dionaea According to the site that is accessed on 27-7-2011 http://Dionaea.carnivore.it/, Dionaea is a low interaction honeypot which is created as a replacement for Nepenthes. Dionaea using python as a scripting language, use libemu to detect shellcodes , support ipv6 and tls. Dionaea aims to get a copy of the malware. Attackers typically communicate with some service by sending a few packets in advance and then send the payload. Dionaea has the ability to detect and evaluate the payload which is to be able to obtain a copy of the malware. To do this,Dionaea use libemu.After Dionaea obtains the desired file location of the attacker to be downloaded from the shellcode,Dionaea will try to download the file.After attacker gets a copy of the worm, Dionaea will store a local file for further analysis, or send a file to a third party for further analysis. 9 Glastopf According to the article "Know Your Tools: Glastopf, A dynamic, lowinteraction honeypot web application", Glastopf is a low interaction honeypot web application that has the ability to emulate thousands of vulnerabilities to collect data from an attack directed to the web application. The basic principle of Glastopf working is by giving an answer in accordance with the purpose of the attacker to attack a web application. Glastopf emulator provides a vulnerability that makes Glastopf can reply to any

attack

without

having

to

modify

the

template

web

application.

How Glastopf works just like the workings of web server. Someone send a request to a web server, then the request is processed, there may be some that are stored on the  

7 

database server and then reply to the request. If the request is wrong it will display the error page.

Picture 2.1 The common works of Glastopf (The picture was taken from the article "Know Your Tools: Glastopf, A dynamic, low‐interaction 

honeypot web application")

Until now, Glastopf can only handle HEAD, POST, and GET request. Glastopf HEAD request will reply with a generic web server header. If you get a POST request, then all data sent will be stored. If it gets the GET request will determine the type of Glastopf attack accordance with the existing pattern. After that, Glastopf will generate a specific response to simulate a successful attack.

2.2 System Design This is a picture of ID-SIRTII network topology:

 

8 

Picture 2.2 ID-SIRTII Network Topology

Based on the network topology above, Dionaea and Glastopf placed in the honeynet lab with a different public ip so that they can attract attacks and store the data that has been received. Honeypot Installation: ¾

Dionaea

Dionaea needs several moduls to do the installation: •

Curl Curl module is used to transfer files to and from the server. This module is used to download files via http and transfer the file to a third party.

 

9 

•

Emu Emu module is used for detecting, profiling, and if necessary run a shellcode

•

Python Python module to control some of the modules used Dionaea.

•

Sqlite Database storage of data received by Dionaea.

•

Prosody Server to connect Dionaea and carniwwwhore.

Dionaea is executed with the command:

Picture 2.3 Dionaea Command

After that wil appear:

Picture 2.4 Dionaea View

The data that has been received by Dionaea will be sent directly to the database that used carniwwwhore so it will be easily seen. Carniwwwhore needed such a requirement to be built:

 

10 

•

Postgresql Database used by carniwwwhore to display data from Dionaea

•

Django Django is a Python-based web framework that was developed to build web applications quickly and easily. Django comes with a built-in web server is to activate it using the command 'runserver'. Built-in Web server can use to test applications that we make at the development stage.

¾ Glastopf To install Glastopf just download the package of servers that have been provided as svn co svn://82.165.193.71:9090/Glastopf/trunk Glastopf

Glastopf has several plugins that can be used: •

Mysql plugin This plugin makes Glastopf can store any data that has been accepted into a Mysql database. Data stored in Mysql database can be seen on the web interface Glastopf, GlasIF.

•

PostgreSql plugin This plugin has the same function as Mysql but not yet collected data can be viewed at GlasIF. This is for further development

•

Rawout plugin This plugin serves to unite all the header in 1 day to 1 file

•

FileUrl plugin This plugin is to keep all URLs that point to the file that attacked the mysql database.

Installation of a web interface GlasIF Glastopf requires only lamp server.Glastopf run with the command:  

11 

-

Python2.5 webserver.py

Glastopf view :

Picture 2.5 Glastopf View

2.3 Data Retrieval This is the scenario of data retrieval: 1. There are two virtual machines on two different machines that each - each have a public IP. The virtual machine using OS linux server. 2. On one of these machines installed in Dionaea and other machines are installed Glastopf then run and wait for the results. 3. The data that we draw from both honeypot is the data that has been received for 7 days on 16 November 2011-22 November 2011. to allow for comparison between the performance Glastopf and Dionaea. 4. For Dionaea, the received data is stored in a sqlite database that will be sent to carniwwwhore so log display can be seen easily.

 

12 

5. For Glastopf, the received data will also be visible in the resulting log is stored in the database and displayed in GlasIF as a web interface. 6. All the web interface are in the Pharm server.

2.4 Evaluation

•

Dionaea After Dionaea run for 7 days on 16 November 2011-22 November 2011, obtained the data that can be sorted by time of the attack, the attacker, and the port is under attack. 9 The attacks based on time

Picture 2.6 Graphic of the number of attackers based on time

In the graphic above, it can be seen an attack on a period of 7 days. In 1 day divided into 3 time in examples morning (4:00 to 12:00 o'clock am), afternoon (12:00 to 20:00 o'clock am) and evening (20:00 to 4:00 pm GMT). From the data that being evaluated can be seen that the most attacks occur at night and during the day and the least in the morning. This is because many attackers are run using a bot attacks  

13 

originating from a different country with Indonesia so the attacker is still have much daytime while in Indonesia it is nighttime. As it is known that during the daytime human activity is most prevalent. 9 The attacks based on country In addition to the number of attacks received by Dionaea, we also can see the attacker ip. Pie Diagram below show the most frequent attacks:

Picture 2.7 The Diagram of Attacker Countries

From the data shows the largest attacks, there are the top 5 countries with the Russians (28%), Brazil (14%), Taiwan (12%), Japan (8%) and Germany (4%). Countries such as Russia (GMT +3), Germany (GMT +1), have a long distance away and different time from Indonesia, so the number of attacks occur most commonly at night (at 20:00 to 04:00 GMT) is 150.629 (Russia) and 20.650 (Germany ). This is because at night time (according to our classification) then at the time Russia and Germany are at the time  

14 

humans started activities (daytime) so that the capacity of the larger attack at this time. On Brazil (GMT-3) which has a very different time away from Indonesia show most attacks on the morning of the 65.321 attacks since then at 4:00 pm in the evening in Brazil is still high so that the attack occurred. The time difference is very much is what makes the attack from many Brazilian states also occur at night is 52.854 attacks. On Taiwan (GMT +8) and Japan (GMT +9) are slightly different from his time with Indonesia the most attacks occur during the day that is 61.613 (Taiwan) and 33.694 (Japan). 9 The attacks based on attacked ports Dionaea opens all the existing services so that the data obtained so much. We also can find port number that was attacked. Here is a diagram that describes the ports that are attacked in a week:

Picture 2.8 Port Diagram of Attacked Ports

 

15 

From the picture above can be seen that port 445 often attacked (1.0483 million attacks) because this port is used for file sharing such as printer sharing. This causes the port is most vulnerable to the worm entered. World Wide Web (www) is part of the Internet's most popular, so most of the second attack on port 80 which is 7915 attacks. The third attack on port 1433 the most widely used by MSSQL. Other ports are ports 5060 and 5061 are often used for voice and media services through the internet, then port 3306 is used by mysql, port 21 for data transfer and other ports.

y Glastopf At Glastopf can be seen on the attacker host and request a booking. Here is a table of data received by Glastopf attack after running for 7 days on 16 November 201122 November 2011: Attacker

Destination

Time

Request

Negara

xxx.43.187.5

203.xxx.119.40

16/11/2011

/phpmyadmin/

Indonesia

109.xxx.213.134

proxyjudge2.xxx.net

17/11/2011

http://proxyjudge2.xxx.net/fastenv

Jerman

61.250.80.xxx

203.xxx.119.40

17/11/2011

/user/soapCaller.bs

Republic of Korea

xxx.14.129.100

www.weibo.com

17/11/2011

http://www.weibo.com/

China

188.xxx.163.130

203.xxx.119.40

18/11/2011

/appConf.htm

Turkey

180.244.xxx.74

203.xxx.119.40

18/11/2011

/phpmyadmin/

Indonesia

194.63.xxx.79

203.xxx.119.40

18/11/2011

/w00tw00t.at.blackhats.romanian.anti-

Rusia

sec:) 194.63.xxx.79

 

203.xxx.119.40

18/11/2011

/phpMyAdmin/scrixxx/setup.php

Rusia

16 

173.xxx.101.59

203.xxx.119.40

19/11/2011

/appConf.htm

United States

xxx.132.116.23

www.google.com

21/11/2011

http://www.google.com/

Ukraine

203.xxx.229.187

203.xxx.119.40

22/11/2011

/w00tw00t.at.blackhats.romanian.anti-

Hongkong

sec:) 203.xxx.229.187

203.xxx.119.40

22/11/2011

/phpMyAdmin/scrixxx/setup.php

Hongkong

128.xxx.29.199

203.xxx.119.40

22/11/2011

/phpMyAdmin/scrixxx/setup.php

Australia

128.xxx.29.199

203.xxx.119.40

22/11/2011

/pma/scrixxx/setup.php

Australia

128.xxx.29.199

203.xxx.119.40

22/11/2011

/w00tw00t.at.blackhats.romanian.anti-

Australia

sec:) 128.xxx.29.199

203.xxx.119.40

22/11/2011

/myadmin/scrixxx/setup.php

Australia

Table 2.1 Table of Glastopf Attacked

At Glastopf, which only open port 80 can be seen from the attacking ip and request was made. Glastopf may attract attacks by adding a path or a file that are vulnerable and are often sought by the attacker in the database Glastopf. Path or the file can take a look at http://www.exploit-db.com/ and add the path in a database table so that when an attacker find the file then they will find and attack our Glastopf. We can identify the Glastopf received data as an attack if the attacker inserts a specific file, requesting and accessing files that are not allowed to the public, and to request that the path we add in the database. From the data above, the request can be made to find common vulnerabilities in phpmyadmin and webserver like / phpMyAdmin / scripts / setup.php from Hong Kong, Russia, and Australia and request / sec :) w00tw00t.at.blackhats.romanian.anti-a usually carried out by Russia and Hong Kong. Other attacks are request / user / soapCaller.bs of Korea.

 

17 

This request is done by tools that Morfeus Scanner is a scanner that seek bug found in PHP or other web applications.

3. Conclusion y

Dionaea is more sensitive than Glastopf especially on port 80 attacks who was captured by Dionaea and attack as much as 7915 Glastopf captured as many as 16.

y

Based on the time of the day, the threat of attacks occur most commonly at night (at 20:00 to 4:00 pm) and afternoon (12:00 to 20:00 pm GMT), and the least in the morning (at 04:00 to 12:00 GMT).

y

According to the research, the five states that an attack is most Russians (28%), Brazil (14%), Taiwan (12%), Japan (8%) and Germany (4%).

y

From the results obtained that the port 445 (SMB) is a port of the most vulnerable to malware infiltrated other than port 80.

y

Honeypot attacks that have been received from the research results can be prevented by means such as closing the port that is often under attack, block suspicious IP, or use other software for security.

 

18 

References •

Diebold, P., A. Hess, and G. Schafer.2005.A honeypot architecture for detecting and analyzing unknown network attacks.14th Kommunikation in Verteilten Systemen.

•

ID-SIRTII.n.d.Profil ID-SIRTII. Diakses tanggal 20-11-2011. http://idsirtii.or.id/profil-id-sirtii/

•

Markus.2011. carniwwwhore. Diakses tanggal 25-09-2011. http://carnivore.it/2010/11/27/carniwwwhore

•

Markus.n.d.Dionaea-Catches Bugs. Diakses tanggal 27-7-2011. http://Dionaea.carnivore.it/  

•

Mattord, Verma.2008. Principles of Information Security. Course Technology. pp. 290–301.

•

Mulyatna, Edi S. 2005. Pengenalan Protokol Jaringan Wireless Komputer. Yogyakarta: Andi. 

•

Pataka.2011. Trend Keamanan Internet 2011. Diakses tanggal 24-12-2011.  http://www.pataka.net/2011/01/08/trend-keamanan-internet-2011/

•

Pfleeger, Charles P. and Shari Lawrence Pfleeger.2011. Analyzing Computer Security: A Threat / Vulnerability / Countermeasure Approach. New Jersey :Prentice Hall.

•

Rist,Lukas.2010. Know Your Tools: Glastopf,A dynamic, low-interaction web application honeypot.

 

19 

•

Scarfone, Karen and Peter Mell.2007. Guide to Intrusion Detection and Prevention Systems (IDPS).Computer Security Resource Center (National Institute of Standards and Technology).

•

Shah, Shreeraj.2004.Defending Web Services using Mod Security(Apache). NetSquare.

•

Spitzner, Lance.2002.Honeypots: tracking hackers. New York: Addison-Wesley Professional.

 

 

 

 

•

Stiawan, Deris.2005.Sistem Keamanan Komputer.Jakarta:PT Elex Media Komputindo.

•

Syafrizal, Melwin.2005.Pengantar Jaringan Komputer.Yogyakarta:Andi.